El periodo posterior a una filtración de datos es un momento crucial para la organización hackeada. Si los líderes no aprenden rápido qué salió mal y actúan con prontitud, en las formas adecuadas, para solucionar el problema, se arriesgan a exacerbar el daño causado en términos de perjuicios financieros y de reputación.
Los ciberataques se han incrementado durante la pandemia al tiempo que la prisa de las empresas para digitalizar servicios y brindar acceso remoto a los empleados ha dejado más vulnerables a los sistemas. Y los líderes corporativos continúan cometiendo los mismos errores en sus respuestas. Les pedimos a varios expertos que compartan sus perspectivas sobre qué hacer y qué no hacer tras una filtración de datos.
NO SÓLO SOLUCIONAR, SINO MEJORAR
Muchas compañías transgredidas toman medidas inmediatas al añadir controles o software que las defiendan del tipo de ataque que acaban de sufrir. Pero no abordan las vulnerabilidades subyacentes.
«El periodo inmediato de evaluación de daños brinda un momento para enfocarse en lo básico», dice Jamil Farshchi, director de seguridad de la información en Equifax Inc., quien se unió a la compañía cinco meses después de la filtración de datos que ésta sufrió en el 2017. Farshchi había liderado anteriormente un esfuerzo de rehabilitación en Home Depot Inc. después de que fue vulnerada en el 2014.
Las compañías pueden evitar el 99.9% de las amenazas potenciales que enfrentan si simplemente hacen cumplir una política de hacer las cosas básicas de forma correcta en el momento oportuno, afirma Farshchi. Cosas como aplicar parches de seguridad y entender cuáles dispositivos están autorizados para conectarse a la red.
Ése fue el primer paso de Equifax en una transformación mucho mayor. Desde el 2017, ha reclutado a alrededor de mil empleados nuevos con aptitudes altamente especializadas como parte de un programa de 1.5 mil millones de dólares para reforzar los procesos de seguridad y la tecnología e inculcar un enfoque en la seguridad como parte de la cultura de la organización.
Muchas compañías que no pueden pagar una transformación tan grande como la de Equifax pueden mejorar la seguridad en otras formas, al tomar medidas que reduzcan costos incluso al tiempo que ponen su seguridad al día. La automatización, la optimización y trasladarse a la nube, señala Farshchi, son medidas que mitigan los riesgos sistémicos al tiempo que impulsan una mayor eficiencia y reducen los costos.
Gregory Touhill, presidente de Appgate Federal Group y primer director de seguridad de la información federal de Estados Unidos (CISO) durante la Administración Obama en el 2016, exhorta a las compañías a que adopten una postura proactiva al usar con regularidad pruebas de penetración independientes de terceros, equipos para detectar problemas y auditorías para encontrar y solucionar detalles antes de que se conviertan en problemas.
NO BUSCAR CULPABLES
Después de algunas de las filtraciones de datos más grandes en años recientes, lo que incluye ataques sufridos en Capital One Financial Corp., Uber Technologies Inc., JPMorgan Chase & Co. y Target Corp., destituir a los ejecutivos de más alto nivel se consideraba la mejor forma de indicar que la compañía hackeada implementaba un cambio en estrategia. Sin embargo, de acuerdo con un ex ejecutivo, dicha medida puede tener «un efecto escalofriante».
«El temor y la incertidumbre no serán tu amigo cuando toda la demás gente está en medio de intentar sobrevivir o recuperarse», señala Stevan Bernard, director ejecutivo de Bernard Consulting LLC y ex director de seguridad en Sony Pictures Entertainment, firma a la que ayudó a guiar durante un ataque en el 2014.
La pérdida de un líder de seguridad que podría entender mejor que nadie lo que sucedió, y que no necesariamente tiene la culpa, podría resultar perjudicial.
ACTUALIZAR POLÍTICAS Y DOCUMENTAR LOS CAMBIOS
Es crucial establecer nuevas políticas de seguridad y documentar qué salió mal y cómo se solucionó. Justine Phillips, socia del despacho de privacidad y seguridad de datos en la firma legal Sheppard, Mullin, Richter & Hampton LLP, cita a Maya Angelou: «Cuando conoces mejor, actúa mejor».
Políticas de respuesta a incidentes que definen roles, responsabilidades, deberes y expectativas, apunta, «demuestran que una empresa ha aprendido y actuará mejor la próxima vez».
«Reguladores y consumidores quieren ver que las compañías tomaron medidas razonables para contener, investigar y remediar el acontecimiento», menciona Phillips, quien añade que documentar cambios es imperativo no sólo desde la perspectiva regulatoria, sino para asegurar que el sistema vuelva a estar libre de amenazas, sin «puertas traseras» que permitan un acceso clandestino.
NO ENVIAR SEÑALES ENCONTRADAS. SER TRANSPARENTES.
Para la comunicaciones posteriores a la filtración, la honestidad y la transparencia son a menudo las mejores políticas.
Liz Zale, directora administrativa en Sard Verbinnen & Co. LLC. una firma de comunicaciones estratégicas, dice que las compañías que han sufrido ataques de ransomware, por ejemplo, en ocasiones describen erróneamente las agresiones como un «problema del sistema» o un «incidente de seguridad».
«Es inevitable que haya una fuga de alguna comunicación interna o fuente», que deje al descubierto lo que sucedió realmente, indica Zale. «Esto crea confusión externa y hace parecer que la compañía, lo que incluye al director de seguridad de la información, no está siendo transparente o sincera con los accionistas externos».
Zale señala que es muy difícil dar marcha atrás a comunicados y cambiar percepciones. «Con frecuencia, las decisiones de comunicaciones no se toman con la consideración de qué narrativa crearán para la compañía».
AYUDAR A OTROS
Hay cierta tendencia a no hablar de filtraciones corporativas por temor a causar un mayor daño a su reputación, pero ser honestos y compartir lecciones puede ayudar a todos en la comunidad de la seguridad.
Farshchi destaca que Equifax ha compartido lo que aprendió con una red de socios, que incluyen a grupos sin fines de lucro, agencias gubernamentales, clientes e incluso competidores.
Como mínimo, si una compañía comparte conocimiento de seguridad con sus proveedores, eso puede hacer que sean, junto con la compañía, más seguros. En lugar de compartir conocimiento de forma directa, las compañías grandes por lo general establecen estándares de ciberseguridad mínimos que anticipan que sus proveedores cumplan para evitar ser explotados como accesos «de puerta trasera» a la red.
«Ninguna filtración es algo buena», dice Farshchi, «pero puede haber un lado positivo: la oportunidad de compartir perspectivas que permitan que otras compañías eviten una suerte similar».
Edición del artículo original
Fuente: Reforma, The Wall Street Journal, 10 de diciembre, 2020